六方云就Treck TCP/IP协议栈Ripple20漏洞解决方案
六方云超弦攻防实验室
2020年6月30日
近日,以色列安全公司JSOF研究实验室在Treck TCP/IP协议栈中发现了多个零日漏洞,六方云超弦攻防实验室第一时间进行跟进,对该漏洞进行了研究分析,并提出了六方云的解决方案。
1. Ripple20漏洞信息
近日,以色列安全公司JSOF研究实验室在Treck TCP/IP协议栈中发现了多个零日漏洞,他们将这些漏洞总称为Ripple20。Treck TCP/IP协议栈广泛应用于嵌入式和物联网设备,因此这些漏洞可能影响数亿个设备。据分析,这些漏洞可能只是冰山一角,随着时间推移,漏洞数量会像生日蛋糕上的蜡烛一样不断增加。
这19个漏洞列表如下:
这些漏洞的源头是一家名为Treck的公司开发的嵌入式TCP/IP低级Internet协议套件库,该库已经有20多年历史,这是一个基本的网络元素、一个构建块,是专为嵌入式设备和实时操作系统设计的专有功能齐全的TCP/IP通信栈。
Treck官方介绍说Treck TCP/IP被设计为高性能、可伸缩和可配置的,以便于集成到任何环境,无论处理器、商业RTOS、专有RTOS,或没有RTOS可用的情况等都可使用。通过设计内核、定时器、驱动程序、套接字等API接口,Treck TCP/IP能够容易地集成到嵌入式产品中。
目前JSOF只公布了CVE-2020-11896和CVE-2020-11898较为详细的信息(并非POC),请参考JSOF_Ripple20技术白皮书。其它漏洞信息详情暂未公开,JSOF将在8月的Black Hat USA虚拟大会上提供有关漏洞的更多详细信息。
2. Ripple20漏洞影响
由于Treck TCP/IP处于供应链上游,且历史久远,这些漏洞的影响像连锁反应一样被放大到了一个很大的程度。这些漏洞对物联网和嵌入式设备领域几乎都有广泛影响,受影响的设备供应商包括个人、财富500强跨国公司、联网智能家居、工业和医疗设备等。
影响范围列表:
3. 六方云针对Ripple20漏洞的解决方案
为了更好地防范Ripple20等零日漏洞对工业控制系统的网络安全隐患,六方云建议如下:
为提高关键信息基础设施的整体网络安全能力,应当积极引进网络安全性较高的工业控制设备和工控安全防护产品,结合企业工控系统的应用情况,形成符合企业实际的工业控制系统安全技术方案,提高整体安全保障能力和防御性能,有效抵御漏洞利用、病毒和恶意入侵,为工业控制系统的安全稳定运行奠定基础。
六方云安全防护产品,诸如工业漏扫、工业审计、工业防火墙等已经集成了Ripple20公开详情的漏洞特征,可以有效对此类威胁进行检测防护,利用已公布的漏洞利用特征及还未发现的其他漏洞攻击,六方云均有完整有效的解决方案。
对于已知漏洞防护:
● 首先,将六方云工业漏扫系统旁路部署在需要检测的网络,一键启动扫描,帮助用户准确地检测出存在Ripple20漏洞的设备,识别系统的脆弱点,让防护更有针对性,极大地帮助用户提高防护效率;
● 其次,部署六方云工业审计类安全产品,升级最新的入侵特征库,特征库中已经包含Ripple20的入侵特征,可以有效检测Ripple20漏洞攻击,保护IoT设备不受Ripple20的影响,对已知威胁实时监测,及时告警;
● 最后,部署工业防火墙,合理分区与访问隔离,以防止利用漏洞进行横向移动,开启安全防护功能,仅启用安全的远程访问、强制执行TCP检查、阻断未使用的ICMP控制消息等。
对于未知威胁检测:
● 对于通过其他未知漏洞进行非法攻击的行为,可以采用六方云流量威胁检测与回溯产品,以内网资产为核心构建AI模型;
● 当有利用此类漏洞进行恶意破坏的异常行为及未知威胁出现时,可以及时发现并进行告警,并且可以结合攻击链及留存的原始攻击报文进行威胁溯源,追溯漏洞利用的过程的来源、入侵路径及最终结果。
